Já falamos aqui diversas vezes sobre a Prevenção Inteligente de Rastreamento (Intelligent Tracking Prevention, ou ITP), recurso do Safari pensado para reduzir a ação dos famigerados trackers sobre os usuários e, com isso, aprimorar a privacidade deles durante a navegação. A ferramenta fez até mesmo o valor médio da publicidade no Safari cair, por conta da menor efetividade.
Entretanto, nem tudo são flores: de acordo com uma reportagem do Financial Times1Matéria fechada para assinantes., um relatório da equipe de segurança do Google (ainda não publicado) aponta uma série de vulnerabilidades no recurso, que teriam o efeito contrário do pretendido e permitiriam que rastreadores “seguissem” usuários pela internet. As falhas já teriam sido corrigidas… ou não.
Explico: segundo os pesquisadores, o ITP expunha dados pessoais dos usuários por conta da forma como guardava as informações dos sites visitados. Com isso, a ferramenta tornou possível a realização de até cinco tipos de ataques diferentes; todos eles permitem que hackers façam o fingerprinting de usuários e sigam sua navegação pela internet, individualizando seus perfis e direcionando publicidade com mais destreza.
Segundo a reportagem, os pesquisadores do Google informaram a Apple sobre as falhas em agosto passado; a princípio, acreditou-se que a Maçã teria corrigido as vulnerabilidades em dezembro, numa das atualizações liberadas para o Safari. Entretanto, segundo o diretor de engenharia do Google Chrome, Justin Schuh, não é bem assim:
It has not. I explained elsewhere that Apple’s blog post was confusing to the team that provided the report. The post was made during a disclosure extension Apple had requested, but didn’t disclose the vulnerabilities, and the changes mentioned didn’t fix the reported issues.
— Justin Schuh 🤬 (@justinschuh) January 22, 2020
Eu acho (corrija-me se eu estiver errado) que isso foi corrigido aqui: webkit.org/blog/9661/prev…
Não foi, não. Eu expliquei em outro lugar que a postagem no blog da Apple era confusa para a equipe que desenvolveu o relatório. A postagem foi feita durante uma extensão do período de não-divulgação que a Apple solicitou, mas ela [a postagem] não informava sobre as vulnerabilidades, e as mudanças mencionadas não corrigiam os problemas citados.
Vamos, portanto, continuar acompanhando essa história para ver quem está certo — certamente ouviremos mais capítulos da novela muito em breve.
via AppleInsider
Notas de rodapé
- 1Matéria fechada para assinantes.